RegulacionSPDP · IA y datos personales · 2026

Resolución SPDP-SPD-2026-0009-R: guía práctica para implementar IA cumpliendo la LOPDP en Ecuador

El 12 de febrero de 2026 la Superintendencia de Protección de Datos Personales publicó la norma general que regula el uso de IA cuando se tratan datos de personas en Ecuador. Si tu negocio usa ChatGPT, agentes, scoring o modelos propios, ya estás dentro del alcance. Acá va lo que cambia y cómo cumplir sin frenar el roadmap de IA.

28 de mayo de 202611 minNixon Marrasquin·Fundador NM Tech Studio

Edición · Mayo 2026

Si tu empresa usa ChatGPT corporativo, un agente conversacional, scoring de crédito, modelos de visión o cualquier sistema que procese datos de personas en Ecuador con apoyo de IA, la Resolución SPDP-SPD-2026-0009-R te aplica desde el 12 de febrero de 2026. No es una ley nueva: es la norma técnica que aterriza la LOPDP al mundo de los modelos. Y la SPDP ya demostró que sanciona en serio: las multas a LigaPro y la FEF llegaron a $259.644 y $194.856 respectivamente. Esta es la guía para implementar IA sin convertirte en el siguiente expediente.

Qué es exactamente la Resolución SPDP-SPD-2026-0009-R

El 12 de febrero de 2026, la Superintendencia de Protección de Datos Personales (SPDP) publicó la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial. No crea un régimen autónomo de IA: desarrolla la LOPDP (Registro Oficial 459, 26 de mayo de 2021) y la aterriza a sistemas automatizados. La diferencia con el Reglamento europeo de IA es esa: en Ecuador la IA se regula desde la lente de protección de datos, no como categoría propia.

12-Feb-2026

Fecha de publicación de la Resolución SPDP-SPD-2026-0009-R

Superintendencia de Protección de Datos Personales (SPDP)

Tope máximo de multa por infracción grave a la LOPDP sobre la facturación anual

Art. 67 LOPDP

$259.644

Primera multa firme de la SPDP por infracción grave (LigaPro, FAN ID)

Resolución RES-SPDP-ICS-2025-0005, 20-Ene-2026

4 roles

Sujetos obligados: desarrollador, desplegador, distribuidor e implementador

Norma SPDP 2026 art. 3

El alcance es extraterritorial

La norma aplica a cualquier organización que desarrolle, entrene, despliegue o provea sistemas de IA que traten datos de titulares en Ecuador, sin importar dónde esté la infraestructura tecnológica ni la sede del proveedor. Usar la API de OpenAI desde un servidor en EE. UU. para procesar datos de un cliente quiteño te pone dentro del alcance.

Quién está obligado: los 4 roles que define la norma

1. Desarrollador

Quien diseña o entrena el modelo. Si en tu empresa haces fine-tuning de un Llama o Gemma sobre tickets de soporte, eres desarrollador. La obligación clave acá es la evaluación de riesgos previa al entrenamiento y la documentación del dataset: de dónde salieron los datos, cómo se anonimizaron y qué bases legales sostienen el tratamiento.

2. Desplegador (o deployer)

Quien integra un modelo existente a un proceso de negocio: el ERP que usa GPT para clasificar facturas, el CRM con agente WhatsApp, el banco que conecta scoring de fraude a su core. La mayoría de empresas ecuatorianas caen acá. La SPDP les exige documentar el propósito, las decisiones automatizadas que toma el sistema y los controles humanos de revisión.

3. Distribuidor

Empresas que revenden o intermedian sistemas de IA de terceros. Una agencia que vende un chatbot empaquetado a clínicas u hoteles entra en esta categoría. Tiene que verificar que el proveedor cumple y dejar evidencia documental antes de comercializar.

4. Implementador

El usuario final que activa el sistema en producción. Una PYME que enciende un agente IA en su web también es implementador. Su obligación mínima: informar al titular en lenguaje claro que está interactuando con una IA, dejar canal humano alternativo y registrar la actividad en el RAT.

Las 6 obligaciones concretas que tu empresa debe activar

1Evaluación de impacto previa al despliegue: documentar finalidad, datos tratados, base legal, riesgos para los titulares y medidas de mitigación. Igual que un Data Protection Impact Assessment del RGPD pero ajustado a la realidad ecuatoriana.
2Inscribir los tratamientos automatizados en el Registro de Actividades de Tratamiento (RAT) detallando las decisiones automatizadas y los criterios del modelo. No basta con decir 'usamos IA': hay que especificar qué decide y con qué insumos.
3Garantizar el derecho del titular a no ser objeto de decisiones basadas únicamente en valoraciones automatizadas con efectos jurídicos o impacto significativo. Crédito denegado por IA sin revisión humana, contratación filtrada por modelo sin intervención de RR.HH., precios personalizados sin opción de revisión: todos requieren revisión humana real, no de adorno.
4Transparencia activa: avisar al titular que interactúa con un sistema de IA, qué datos trata y cómo ejercer sus derechos. Un disclaimer chico en el footer no cumple: tiene que aparecer en el primer contacto del flujo.
5Medidas de seguridad proporcionales al riesgo: cifrado en tránsito y reposo, segregación de datasets de entrenamiento, control de acceso por rol, registro de auditoría. Para datos sensibles (salud, biométricos, financieros) el estándar sube.
6Eliminación, bloqueo o anonimización cuando la finalidad concluye. Si entrenás un modelo con datos personales y el proyecto termina, los datos no pueden quedarse vivos en backups indefinidos.

Pantalla de panel de cumplimiento IA con evaluación de impacto y RAT en español — El RAT con decisiones automatizadas declaradas y la evaluación de impacto previa son la primera línea de defensa frente a una inspección de la SPDP.

Casos típicos en empresas ecuatorianas y cómo aterrizan

Caso de uso	Tipo de tratamiento	Obligación principal bajo la norma
Agente de WhatsApp con IA que atiende ventas	Decisión automatizada de calificación de lead	Aviso de interacción IA + canal humano + base legal en política
Scoring crediticio con modelo propio	Decisión automatizada con efecto jurídico	Revisión humana, derecho de oposición y explicación del criterio
Filtrado de hojas de vida con IA	Decisión automatizada en relación laboral	Doble revisión humana antes de descartar, derecho de oposición
Reconocimiento facial en accesos físicos	Tratamiento de datos biométricos sensibles	Base legal reforzada, evaluación de impacto, consentimiento expreso
Generación de imágenes con clientes reales	Tratamiento de imagen y voz	Consentimiento específico, retención limitada, contrato de licencia
Asistente IA conectado al ERP que ve datos de clientes	Tratamiento por encargado	Contrato DPA con el proveedor del modelo, registro en RAT

Agente de WhatsApp con IA que atiende ventas

Tipo de tratamiento: Decisión automatizada de calificación de lead
Obligación principal bajo la norma: Aviso de interacción IA + canal humano + base legal en política

Scoring crediticio con modelo propio

Tipo de tratamiento: Decisión automatizada con efecto jurídico
Obligación principal bajo la norma: Revisión humana, derecho de oposición y explicación del criterio

Filtrado de hojas de vida con IA

Tipo de tratamiento: Decisión automatizada en relación laboral
Obligación principal bajo la norma: Doble revisión humana antes de descartar, derecho de oposición

Reconocimiento facial en accesos físicos

Tipo de tratamiento: Tratamiento de datos biométricos sensibles
Obligación principal bajo la norma: Base legal reforzada, evaluación de impacto, consentimiento expreso

Generación de imágenes con clientes reales

Tipo de tratamiento: Tratamiento de imagen y voz
Obligación principal bajo la norma: Consentimiento específico, retención limitada, contrato de licencia

Asistente IA conectado al ERP que ve datos de clientes

Tipo de tratamiento: Tratamiento por encargado
Obligación principal bajo la norma: Contrato DPA con el proveedor del modelo, registro en RAT

Errores que ya están costando inspecciones

Conectar ChatGPT corporativo al CRM sin contrato de tratamiento (DPA) con OpenAI ni declaración de transferencia internacional a EE. UU. en la política de privacidad.
Activar un chatbot sin avisar al usuario que es IA: la transparencia activa no es opcional desde febrero 2026.
Entrenar modelos internos con tickets, correos o llamadas grabadas sin haber declarado la finalidad de entrenamiento en el aviso original.
Decisiones automatizadas de crédito o pricing sin opción real de revisión humana ni explicación accesible al cliente.
Datasets de entrenamiento guardados en Drive personal del data scientist, sin control de acceso ni retención definida.
No incluir los tratamientos automatizados en el RAT por considerar la IA 'una herramienta más', cuando la norma exige declararlos específicamente.

Qué pasa con OpenAI, Anthropic, Google y los grandes

Los tres ofrecen contratos de tratamiento (DPA) estándar dentro de la cuenta Enterprise o Teams: en OpenAI hay que aceptarlos desde 'Workspace Settings', en Anthropic se firma con el plan Team o Enterprise, en Google Vertex AI desde la consola Cloud. Si usas la versión gratuita o personal de cualquiera de los tres para datos de clientes, no tienes DPA y la transferencia internacional queda sin cobertura.

Cómo aterrizar el cumplimiento sin frenar el roadmap de IA

El error más común que vemos en clientes es tratar la norma como un freno y posponer los proyectos de IA. La salida real es operativa: una vez que el RAT está al día, el DPA firmado y el flujo de transparencia activo, la implementación corre. En NM Tech Studio cubrimos exactamente esa capa cuando construimos agentes con IA conectados al CRM o sistemas a medida en Next.js: dejamos el módulo de consentimiento, el log de interacciones IA y el panel de revisión humana listos desde el día uno, en vez de parcharlo después.

Para los casos puntuales de implementación de agentes y chatbots conectados a procesos críticos, hay un detalle adicional sobre integración y orquestación que cubrimos en el post del blog sobre MCP (Model Context Protocol) para empresas. Y si todavía estás definiendo qué cumplir como sitio web base antes de sumar capa de IA, la guía completa de LOPDP para sitios web en Ecuador la tenemos también en el blog.

Hoja de ruta de 30 días para ponerte en regla

1Día 1 a 5: inventario de sistemas IA en uso (incluí ChatGPT corporativo, Copilot, Gemini, agentes WhatsApp, scoring, OCR de cédulas). Clasificá por riesgo según los efectos sobre el titular.
2Día 6 a 10: redacta la evaluación de impacto para cada caso de uso de riesgo medio o alto. Sin esto la SPDP no acepta el RAT como completo.
3Día 11 a 15: actualiza el RAT con los tratamientos automatizados y las decisiones que toma el sistema. Acompaña con flujograma del proceso.
4Día 16 a 20: firma los DPA con OpenAI, Anthropic, Google, Microsoft, BSP de WhatsApp y cualquier proveedor que toque datos. Documenta el listado.
5Día 21 a 25: implementa el aviso de interacción con IA en cada punto de contacto: chatbot, formulario, llamada. Pruébalo en incógnito antes de cerrar.
6Día 26 a 30: define el procedimiento de revisión humana para decisiones automatizadas con efecto significativo. Asigna roles, plazos y canal de oposición del titular.

Preguntas frecuentes

¿Desde cuándo aplica la Resolución SPDP-SPD-2026-0009-R en Ecuador?

Desde el 12 de febrero de 2026, fecha de su publicación. No tiene período de gracia: las obligaciones de evaluación de impacto, RAT actualizado y transparencia activa son exigibles ya. La SPDP ya ejerció sus facultades sancionadoras con las multas a LigaPro y FEF emitidas en enero de 2026, así que la fiscalización está activa.

¿Si uso ChatGPT en mi PYME tengo que cumplir esta norma?

Si los prompts incluyen datos personales de clientes, empleados o proveedores (correos, RUC, historial de pedidos, conversaciones de soporte), sí. Necesitas plan Team o Enterprise de OpenAI con DPA firmado, declarar la transferencia internacional a EE. UU. en tu política de privacidad y registrar el uso en el RAT. La versión gratuita o ChatGPT Plus personal no cumple para uso corporativo con datos de terceros.

¿Qué es una decisión automatizada con efecto jurídico?

Una decisión tomada por un sistema sin intervención humana real que produce consecuencias legales o significativas para la persona: aprobar o denegar un crédito, fijar precio individualizado, filtrar una postulación laboral, calificar un seguro, autorizar o bloquear una compra. Bajo la norma SPDP el titular tiene derecho a oponerse y exigir revisión humana, no automatizada de oficio.

¿La norma prohíbe usar reconocimiento facial o biométrico?

No prohíbe, pero exige base legal reforzada (típicamente consentimiento expreso e informado), evaluación de impacto previa, medidas de seguridad agravadas y plazo de retención específico. Los datos biométricos son categoría sensible bajo la LOPDP. La sanción a LigaPro tuvo como factor agravante justamente el tratamiento biométrico mal protegido en la aplicación FAN ID.

¿Necesito un DPO si mi empresa usa IA en Ecuador?

El DPO es obligatorio para entidades públicas, organizaciones cuya actividad principal sea tratamiento a gran escala de datos sensibles, y empresas que monitoreen comportamiento a gran escala. Si tu negocio no encaja, no es obligatorio designar DPO, pero la SPDP recomienda un responsable interno de cumplimiento. En proyectos de IA es buena práctica nombrar un punto de contacto, porque la SPDP pregunta siempre por el responsable cuando inicia un expediente.

Servicio relacionado

Integramos tu sistema al SRI sin parchar lo que ya tienes

Transmisión inmediata, dashboard de salud y firma electrónica conectados a tu ERP o tienda.

Cero multas SRI desde 2026
Validación previa al pago

Desde $4,000 USDSolicitar diagnóstico

Catálogo NM Tech Studio

Precios públicos desde 2021

Sin sorpresas. Sin "cotizar para conocer precio".

Habla con un ingenieroRespuesta en menos de 30 min · Lun a VieWhatsApp directo